35309006 taller wireshark

10
Taller Wireshark y ARP-Spoofing Carlos Andrés Rodallega Obando Página 1 CAMPUS PARTY Colombia 2010 [email protected] Taller Wireshark, ataque y contramedidas arp-spoofing usando ettercap y arpwatch Inicialmente verifiquemos que tenemos los componentes necesarios para el desarrollo del taller: Maquina atacante Maquina Victima Wireshark, ettercap y arpwatch instalados en el atacante Una vez confirmado lo anterior inicializamos la dos maquinas y nos posicionamos en la maquina atacante. Wireshark Desde un usuario privilegiado (Administrador) abrimos nuestra herramienta de monitoreo Wireshark, esto es debido a que para poder trabajar e inicializar de manera efectiva las interfaces de red se deben poseer ciertos privilegios. Una vez tenemos la aplicación abierta, pasamos a conocer las funcionalidades de los botones de la interfaz principal y en seguida pasamos a los sub-menús que nos serán útiles para este taller.

Upload: carlos-de-dios-arribas

Post on 24-Nov-2015

29 views

Category:

Documents


0 download

TRANSCRIPT

  • Taller Wireshark y ARP-Spoofing

    Carlos Andrs Rodallega Obando Pgina 1 CAMPUS PARTY Colombia 2010 [email protected]

    Taller Wireshark, ataque y contramedidas arp-spoofing usando

    ettercap y arpwatch

    Inicialmente verifiquemos que tenemos los componentes necesarios para el desarrollo del taller:

    Maquina atacante

    Maquina Victima

    Wireshark, ettercap y arpwatch instalados en el atacante Una vez confirmado lo anterior inicializamos la dos maquinas y nos posicionamos en la maquina atacante.

    Wireshark Desde un usuario privilegiado (Administrador) abrimos nuestra herramienta de monitoreo Wireshark, esto es debido a que para poder trabajar e inicializar de manera efectiva las interfaces de red se deben poseer ciertos privilegios. Una vez tenemos la aplicacin abierta, pasamos a conocer las funcionalidades de los botones de la interfaz principal y en seguida pasamos a los sub-mens que nos sern tiles para este taller.

  • Taller Wireshark y ARP-Spoofing

    Carlos Andrs Rodallega Obando Pgina 2 CAMPUS PARTY Colombia 2010 [email protected]

    En seguida vamos al men de captura (Capture) y seleccionamos la opcin Interfaces, en donde nos aparecer lo siguiente.

    Cerramos esta ventana y abrimos Capture->Options En seguida tendremos la ventana que nos permitir configurar la herramienta para una captura ms depurada.

  • Taller Wireshark y ARP-Spoofing

    Carlos Andrs Rodallega Obando Pgina 3 CAMPUS PARTY Colombia 2010 [email protected]

    Seguido presionamos el botn Capture Filter y en seguida se nos presentara la ventana que nos permitir crear o elegir un filtro de captura.

    Una vez se ha configurado el filtro a usar, damos ok y seleccionamos la opcin start para que la herramienta comience a realizar la captura.

  • Taller Wireshark y ARP-Spoofing

    Carlos Andrs Rodallega Obando Pgina 4 CAMPUS PARTY Colombia 2010 [email protected]

    Actividades del taller

    1. Antes que nada debemos asignar una direccin IP a nuestra maquina monitor, en nuestro caso como tenemos un servidor DHCP usamos el comando

    Monitor->#dhclient Solicita una direccin IP al servidor DHCP

    2. Ya para comenzar con wireshark no establecemos ningn filtro de captura, as que vamos

    a capturar todo el trfico que llegue a nuestra interfaz de red. Debemos tener en claro que dependiendo de la actividad y la arquitectura de la red en la que se encuentra nuestra maquina atacante se pueden capturar paquetes o no. Cualquiera que sea el caso generaremos algo de trfico haciendo ping a nuestra puerta de enlace.

    Monitor->#route Muestra la tabla de enrutamiento

    Monitor->#ping IP_Gateway Hacemos ping a la puerta de enlace

    Despus de unos segundos detenemos la captura. Qu informacin nos da la herramienta del trfico capturado? Interpretacin de la captura.

    3. A partir de este punto por cada captura que hagamos con nuestra herramienta, vamos a guardar la informacin antes de iniciar una nueva.

    Para grabar en un formato que se pueda volver a cargar por el whireshark vamos a:

    File -> Save As

    Para exportarlo a un archivo de texto: File -> Export -> As plain text file

    4. Ahora iniciamos una nueva captura y con un navegador web desde nuestra victima

    (maquina virtual que se sugiri) abrimos una pgina cualquiera de internet. Como se puede ver se nuestra herramienta capturo diferentes paquetes de entrada y salida al momento de abrir una pgina web. Explicacin de la captura.

    Si en un entorno pequeo en este caso con un dos equipos, se captura un gran cantidad de trfico, ahora la pregunta que nos debemos hacer es Cmo ser tratar de supervisar el trafico en una red demasiado concurrida? Una posible solucin a este problema sera

  • Taller Wireshark y ARP-Spoofing

    Carlos Andrs Rodallega Obando Pgina 5 CAMPUS PARTY Colombia 2010 [email protected]

    5. Ahora vamos a usar un filtro predeterminado en las capturas, esto con el fin de disminuir capturas que en el momento no nos interesan.

    Teniendo clara la IP del equipo que deseamos monitorear vamos a usar el filtro de direcciones IP, en opciones de captura en el campo de filtro de captura escribimos lo siguiente: host Ip_target

    Con lo anterior le decimos a nuestra herramienta que capture todo el trfico que involucra a la IP del objetivo

    6. En el paso anterior tenamos las capturas de entrada y salida de esa IP, pero si solo necesitamos visualizar el trfico que sale de esa IP, vamos a crear una expresin que me filtre esa informacin.

    En la interfaz principal damos click en el botn de agregar expresin:

    En field name seleccionamos IP -> ip.src, en relacin == y por ltimo la IP del objetivo, damos OK y en la interfaz principal Apply

    Como se puede ver ya estamos filtrando la visualizacin a solo paquetes que salen de una IP especfica.

  • Taller Wireshark y ARP-Spoofing

    Carlos Andrs Rodallega Obando Pgina 6 CAMPUS PARTY Colombia 2010 [email protected]

    7. Para poner un poco ms interesante vamos a establecer un chat con netcat y usaremos wireshark para capturar esa conversacin.

    En el cualquiera de las dos maquinas ponemos el servidor en este caso lo pondr en el servidor:

    Monitor->#nc lp 1503 La maquina cliente se conectara a la ip del servidor en el puerto establecido:

    Target->#nc IP_Monitor 1503

    Hecho esto tenemos un chat entre las dos maquinas, ahora usando lo anteriormente visto creamos una nueva expresin que nos sirva para filtrar el trfico del puerto TCP 1503

    De nuevo vamos a agregar expresin, en field name seleccionamos TCP -> tcp.port, en relacin == y por ltimo el numero del puerto en este caso 1503, OK y Apply En seguida comenzamos la captura y generamos actividad en el chat (unas 5 frases entre los clientes son suficientes).

    Ahora tenemos la informacin del trfico que involucra al puerto 1503.

    Seleccionando los frames que nos muestra nuestra herramienta podemos ver que estos tienen una parte de informacin o DATA.

    Que contiene ese DATA?

    Por qu se puede visualizar eso?

    8. Es posible capturar conversaciones de Messenger de esta forma? Qu permite el filtro msnms?

    9. Enseguida vamos a generar un filtro compuesto de dos expresiones, este nos permitir capturar el login y contrasea de un usuario cuando esta trata de autenticarse en una pgina que no usa el protocolo seguro https, enviando as los datos de forma insegura.

    Entonces comenzamos una nueva captura sin ningn tipo de filtro, ahora desde la vctima en una consola de comandos hacemos ping a 3 sitios en internet y con el navegador web accedemos a varias pginas de internet 8 aproximadamente (esto es con el fin de que se capture una gran cantidad de paquetes), por ultimo vamos a la pgina: http://roguer.100webspace.net/login Aqu intentamos iniciar sesin, con un nombre de usuario cualquiera y una contrasea cualquiera.

  • Taller Wireshark y ARP-Spoofing

    Carlos Andrs Rodallega Obando Pgina 7 CAMPUS PARTY Colombia 2010 [email protected]

    Volviendo a la mquina de monitoreo y a nuestra herramienta observamos una gran cantidad de frames capturados, as que como ya lo hicimos antes creamos un filtro que nos muestre solo la informacin que tiene como origen la maquina objetivo y otro que muestre todo lo que se relacione con el puerto 80, para lo anterior tendramos: ip.src == IP_target tcp.port == 80 Ahora vamos a unir estas expresiones con el fin de que solo se muestre la informacin que sale del objetivo y que se relaciona con el puerto 80, entonces tendramos ip.src == IP_target and tcp.port == 80

    Funciono este filtro?

    Ahora vamos a crear un filtro que me capture los paquetes que envan datos usando el mtodo post, entonces tendramos Sugerencias? => Lo construiremos entre todos

    Se logro capturar informacin crtica? Que sucede si intento lo mismo en la siguiente pagina?

    https://www.unicauca.edu.co/rc1

    10. Enseguida vamos a transmitir con netcat una imagen por la red y vamos a capturar este trfico, esto con el fin de guardar la captura para despus tratar de reconstruir el archivo.

    Ahora iniciamos una nueva captura con o sin filtro, y ponemos con netcat un puerto a la escucha que nos envie un archivo al recibir una conexin:

    Target->#nc -lp 1503 < imagen.jpg

    Ahora desde el atacante nos conectamos a ese puerto y recibimos el archivo.

    Monitor->#nc lp 1503 > trafico.cap

    Una vez hecho esto guardamos la captura en el formato por defecto .cap y procedemos a reconstruir la imagen as:

    Monitor->#tcpxtract -f trafico.cap -o capturado/

  • Taller Wireshark y ARP-Spoofing

    Carlos Andrs Rodallega Obando Pgina 8 CAMPUS PARTY Colombia 2010 [email protected]

    ARP-Spoofing Ataque con ettercap Como se explico en la presentacin previa al taller, cuando nos encontramos trabajando sobre una red swicheada al tratar de capturar el trfico con nuestra herramienta Wireshark, solo vamos a poder capturar el trfico que tiene como origen y destino a nuestra tarjeta. Lo anterior puede frustrarnos y llevarnos a pensar en que no estamos haciendo bien las cosas o que nuestra herramienta simplemente no funciona. Pero si aplicamos un poco de lgica una posible solucin a esto es realizar el ataque de envenenamiento de tablas ARP (ARP-Spoofing). Para lo cual realizamos lo siguiente:

    Atacante->#ifconfig Nos muestra la configuracin de la interfaz de red del atacante

    Para ejecutar el ataque necesitamos saber por lo menos la direccin_IP de nuestra vctima, en nuestro entorno seguro basta con ir y mirar la configuracin de esta.

    Victima->#ifconfig Victima->ipconfig Nos muestra la configuracin de la interfaz de red de la victima

    Victima->#arp a Con el comando anterior se nos presentaran los registros de las tablas ARP.

    Atacante->#wireshark Con nuestra herramienta de monitoreo inicializada, comenzamos a hacer la captura del trafico de la red ya sea usando filtros o no. Qu sucede? En respuesta a esto procederemos a envenenar las tablas ARP necesarias

    Como todo el trfico que sale o entra a nuestra victima pasa por la puerta de enlace, procederemos a envenenar las tablas ARP de estas dos maquinas:

    Atacante->#ettercap Tq M arp /ip_victima1/ /ip_victima2/ Con ettercap envenenamos las tablas ARP de las dos vctimas, en este caso la vctima y la puerta de enlace. Parmetros: Tq => Indica que lo ejecutamos desde consola pero que no muestre los paquetes

    capturados. M => Tipo de ataque Hombre en medio Arp => Parmetro del tipo de ataque que indica que se har arp-spoofing

    Una vez se ha lanzado el ataque podemos verificar con el wireshark, que nuestro atacante est enviando paquetes que mienten acerca de la direccin MAC de las IP involucradas y adems ya aparece el trafico de las otras maquinas.

  • Taller Wireshark y ARP-Spoofing

    Carlos Andrs Rodallega Obando Pgina 9 CAMPUS PARTY Colombia 2010 [email protected]

    Ahora vamos a la victima a ver qu cambios hay.

    Victima->#arp a Verificamos de nuevo la tablas ARP en donde se debe ver que dos IP diferentes tienen la misma MAC.

    De vuelta en el atacante haciendo uso de las herramientas de supervisin y opciones de filtro que estas nos ofrecen, podemos supervisar el trfico entre esos dos equipos. Cuando se desee detener el ataque, en la consola en la que se est ejecutando el ettercap presionamos la tecla Q, de inmediato este re-enva respuestas de tipo ARP con datos verdaderos y se termina la ejecucin de la aplicacin.

    ARP-Spoofing Contramedidas con Arpwatch Una vez instalado vamos a poner a correr el Arpwatch.

    Victima->#arpwatch i eth0 Iniciamos el demonio (proceso background) de arpwatch.

    Victima->#ps e | grep arp Miramos los procesos y filtramos, si el arpwatch ha iniciado debe aparecer en este listado

    Para hacer que arpwatch nos envi notificaciones por correo debemos tener instalado un servidor de correo en nuestra maquina (postfix). Cumpliendo con los requisitos ejecutamos el arpwatch de la siguiente manera:

    Victima->#kill id_proceso Matamos el proceso actual del arpwatch si est corriendo

    Victima->#arpwatch i eth0 m [email protected] Iniciamos arpwatch para que nos enve notificaciones a un correo especfico.

    Ahora atacamos de nuevo con ettercap y miramos las notificaciones que se han generado

    Victima->#cat /var/log/syslog Visualizamos el log syslog, en el cual arpwatch pone las notificaciones

    Victima->#cat /var/log/syslog | more Miramos el log syslog, detenidamente

    Victima->#cat /var/log/syslog | grep arpwatch Filtramos para que solo muestre las notificaciones escritas por arpwatch

  • Taller Wireshark y ARP-Spoofing

    Carlos Andrs Rodallega Obando Pgina 10 CAMPUS PARTY Colombia 2010 [email protected]

    ARP-Spoofing Contramedidas con

    Ettercap nos permite usar un plugin (arp_cop) para monitorizar las tablas arp.

    En Windows est el WinArpwatch

    Hay antivirus para Windows que detectan este tipo de ataque y evita que se envenenen las tablas arp.

    Sugerencias de contramedidas?

    FIN

    De despedida si aun no son las 12 aadimos al arp-spoofing un dns-spoofing